《2022APP安全评测指导手册.docx》由会员分享,可在线阅读,更多相关《2022APP安全评测指导手册.docx(33页珍藏版)》请在优知文库上搜索。
1、APP安全评测指导手册2022一、敏感数据暴露3(一) 明文传输用户名、密码和验证码等敏感信息3(二) 不安全的本地存储5(三) 泄漏后台服务器地址,导致服务器可控6(四) 边信道信息泄漏6二、鉴权机制缺陷8(五)未使用有效的token机制,导致可以绕过鉴权8(六)传输数据可修改,造成越权访问9卜七)登录设计缺陷,存在被暴力破解风险10(八)利用业务逻辑缺陷制作短信炸弹13三、钓鱼劫持风险15(九)关键页面存在钓鱼劫持风险,导致用户信息泄露15四、代码保护不足16(十)可以重新编译打包16(H)WebVieW漏洞17(十二)Web表单设计缺陷,存在SQ1.注入漏洞18五、公共组件漏洞20(十三
2、)组件ContentProvider配置错误,导致数据泄漏20(十四)组件ACtiVity配置错误,导致登录页面被绕过21(十五)组件SerViCe配置错误,导致非法权限提升22(十六)组件BrOadCaStReCeiVer配置错误,导致拒绝服务、非法越权23六、应用配置错误24(十七)开启allowbackup备份权限,存在备份数据泄露风险24(十八)开启DebUggabIe属性,存在应用信息篡改泄露风险26七、XCOdeGhOSt病毒26(十九)下载非官方开发工具,导致IOS版本APP被植入恶意代码.26八、开发者证书不规范29(二十)开发者证书不规范,导致开发者身份信息不明29一、敏感数
3、据暴露(一)明文传输用户名、密码和验证码等敏感信息整改优先级:高问题描述:用户登录过程中,在与服务器端交互时明文传输用户名、密码或者验证码等,可导致用户敏感信息泄露。检查方法和步骤:1.对模拟器进行设置,从Setting开始设置依次选择moreMobilenetworksAccessPointNamesTeIKiIaPrOXy:修改IP地址为虚拟机的IP地址。SSS4Applse图1.模拟器设置5554AppUs图2.模拟器设置SSSAppUseAA10:11MobilenetworksettingsDataenabledEnabledataaccessowMobileUfwtworDatar
4、oamingConnecitodataBerViCCwhenroamingAccessPointNamesUseonly2Gnetworks5vesbAteyNetworkoperatorsCbOOMMWOffcOpfft1Of图3.模拟器设置555CAppUS10:12IIBAPNs:O00TeIKiIa.Itfwi的EEPlEEraJEnnFFfEEFBEEEEEraEQ的强墨弱黯图4.模拟器设置5SS4:AppUse图5.模拟器设置2.BurpSuite设置,在PrOXy选项页里的Options中进行设置,在Proxy1.isteners中增加虚拟机IP地址的8080端口。TargetP
5、rQIVJSPigrSomMertt1l11tfc甲HTTPhmorySoctUhmorOpUons4urpPrwyUtWortoHTTFrtMcfromyourbrows”youwtl11dt。corA9uf*yo$rbrowrtoucnGMInttnersttproytvtfIMtEcRttaHabccofBurpgnrMtM2SS1.co(ctiorH.YoucannvpeottcnfcMforustnchrtooHOfarrrtstaMMon0#Burp.ICAcrt4c”.interceptOIentRequesK5tfWtc9。(8KBrquttfirM18forf09M*8EGt
6、hfcfXtbmtrc4ptotmatch*9P*Jctill*I皿11.JOrRquttContamiPeflm.Orx11,m4d0tnomMh(90C)IIMdUR1.Hntr9tcop图6.BurpSuite设置3.利用BurpSuite对被测应用进行监听。确保BurpSuite上的“interceptisOn(监听是打开的)”。然后点击登陆.。登陆请求将被BUrPSUite监听拦截到。心哪SpderjScanw;mu*R即小式12mcrDcoefConpref;KeMyW63AJMS-:KnPhscy*%ketshistory;OPtxnS|/GRequesttohttps;0reg
7、.l63.co!R443(61.135.25(lX)IFCnBgrdJCropTierceftisonAcun,R三PyamSJHeaderSJHex(确1.jipTtype=!即Wta=16轴url=tepyAMFH7mm11xx1.16amPFetmaytE2Jetdcgd11kE873Dl02vwtoe7$D1%笫此供OQ3D226矶出依DM。兜幺=%D192168l依心/MdfMDttaartjmdrcdHTTBllHx:keep*leRererhftsBart4aaiH63.m/MrXfBartCx11em-1.eh:99CiAe-CxKwl:naxa5t三OOrgkct:1enac
8、t.mai1.1$3.ccmCrteni-TjT*:叩PhJiiXvXwwwfznurQcodMAne内m1.apphoticn!skD1.3pplitxxskO.9.t*isO.8X2exed-Wkh:cn.niitrCTrserUserAfitMM-,1.mnx;U;An)14.2.1;如,叫gwgkiBrd,B.MRl.lAppWtt10KH7MUIiktCoVfD4.0McbikSaftn湖觇Aat-MdDgtgzi.de!bteAcoept-1.uBe:enUSAmfi-Chartft:1df8l&4W91.UtGI6.;IXOI图7.BurpSuite设置检查工具:BurpSuit
9、e等抓包分析工具整改建议:在被测应用与服务器交互过程中,对用户名、密码和验证码等敏感信息进行加密传输。(一)不安全的本地存储整改优先级:高问题描述:安卓开发者使用多种方法将数据存储在安卓应用中,而存储在本地的数据文件如果未加密,易造成敏感信息泄漏。检查方法和步骤:1. SharedPreferences是用key-value来存储私有的原始数据的xml文件。数据类型有布尔型,浮点型,整形,长整型和字符串。通常情况下存储的路径为:datadatashared-prefso直接打开查看是否有敏感数据。2. SQ1.ite数据库是轻量级基于文件的数据库。这些文件通常以db或者sqlite结尾。安卓默
10、认提供了大量SQ1.ite支持。应用的数据库一般存储在下面的地方:datadatadatabases,可以使用SQ1.ite数据库直接打开查看是否有敏感数据。3. 检查SD卡目录中是否存在敏感数据。检查工具:SQ1.ite数据库整改建议:对存储在本地的数据文件进行加密。(三)泄漏后台服务器地址,导致服务器可控整改优先级:高问题描述:在使用BUrPSUite等工具对应用进行监听的过程中,发现后台服务器地址。对后台服务器进行测试,若后台服务器存在漏洞,则可控制后台服务器。检查方法和步骤:1 .利用BurpSuite对被测应用进行监听。确保BurpSUite上的interceptisOn(监听是打开
11、的)对监听到的数据包进行查看,是否有后台服务器地址。2 .如果发现后台服务器地址,则对其进行安全测试,检查其是否存在SQ1.注入、struts2等后台服务器漏洞。检查工具:BurpSuiteSQ1.注入检查工具、StnJtS2漏洞检查工具整改建议:对后台服务器进行安全加固,后台服务器需要按照中国移动相关安全规定进行配置,注意口令强度,后台配置页面原则上不能由公网随意访问等。(四)边信道信息泄漏问题描述:当APP处理用户或其它数据源输入的数据时,可能会把数据放在不安全的位置,容易导致边信道被攻击者利用造成信息泄露。检查方法和步骤:1. AndrOid提供的日志功能是一个会造成信息泄露的地方,日志
12、一般是开发者在开发期间调试使用的。查看日志的方式有两种:1)使用EdiPSe:在1.OgCat选项卡中看到应用运行期间输出的所有日志信息,其中可能就会有一些敏感信息。bktnsAJvd&c、DeUrM*onOComole01.09Ct:.:tPropertittSr9CSaACCfPFu9CotgIlrnltyoPCvw0tHKTnPIDTDAppbc4tonT9TBt042314:8:3.l.trpp105X9eotcr*4PMb-U-*cU.X04-2314:00:4.44144X6CQflUX*3ur1.OGTlCeavrelprwoE1p*vordSucoutput.txt,将日志保存到电脑本地,以便后期进一步分析。- Vverbose打印详细- ddebug打印调试级日志- Iinformation打印提示级日志- eerror打印错误级日志- Wwarning打印警告级日志beginninofZUvZloaZsyBtmlvlty6rvicth”HngIi;ervftce:Done.Svrvlce:Sellinti*orfor72facondunt*MdP4t*ordtpassIxiffinFa1ldI6e2mU,WHrBH11r-*ry5WrVt_Tlcc.oudIoScrvice:Sountf